Solusi sementara untuk Wordpress 3.3.1, kemungkinan 3.3.2 yang rentan di hack.

Wordpress 3.3.1 yang diluncurkan secara resmi oleh WordPress pada bulan Febuari 2012, namun Vuln dalam CMS kawakan tersebut sudah diketahui banyak orang, dan membuat para blogger kalang kabut dibuatnya karena maraknya tindakan kracking terhadap blog dengan CMS WordPress.


Sebuah vuln yang dipublish di exploit-db.com pada 2012-01-25 menggambarkan bahwa seorang attacker bisa menyerang blog dengan CMS wordpress melalui kesalahan program pada sebuah file yang bernama setup-config.php terletak pada folder wp-admin. Selebihnya anda bisa membaca dan mempelajari teknik penyerangan ini di exploit-db.com dan berikut linknya hxxp://www.exploit-db.com/exploits/18417


Sebelum saya mendapatkan/menemukan cara untuk menangani bug ini, saya sarankan anda melindungi file yang menjadi biang keladi dari masalah ini yaitu setup-config.php. Seperti pada tutorial terdahulu mengenai melindungi file wp-config.php melalui .htaccess, maka sekarang kita akan melakukan hal yang sama untuk melindungi file tersebut agar tidak bisa dibaca oleh attacker.


1. Buatlah file .htaccess didalam directory wp-admin hosting anda. Ingat filenya terdapat tanda titik didepannya .htaccess


2. Buka file tersebut kemudian isi dengan baris kode berikut:
<Files setup-config.php>
order allow,deny
deny from all
</Files>


3. Simpan file .htaccess yang baru saja anda buat dan edit, kemudian cobalah untuk membuka file setup-config.php pada browser anda melalui alamat _http://namabloganda.com/wp-admin/setup-config.php. Lebih lengkapnya silahkan lihat gambar dibawah

 

nice share

 

mudah-mudahan dapat membantu teman-teman yang sering websitenya di isengin oleh defacer.

 

pernah kena deface jadi bikin males ngeblog
praktekin gan

 

Tapi tolong livelinknya gan, Nice share.....

 

up, maaf, saya ndak maksud livelink, cuman copy paste doang. maaf maaf.

 

makasih sharingnya masbro..

 

Sama-sama... karena banyak sih yang kena... ya gak ada salahnya di coba kan.

 

wah.. baru diluncurkan 3.3.2 sdh rentan jg ?

 

thanks sharenya om TS.. mudah-mudahan cepet update lagi wp nya

 

kemungkinanan....

biasanya sih wordpress sudah update, cuman ya kalau ambilnya dari autoinstaller seperti softaculous ataupun fantastico... begitu. jadi ya satu-satunya jalan di akali dengan cara gitu deh.
ada sih satu cust saya saja yang pake wordpress, yang sudah memberikan testimoni di lapak saya, juga itrader, sudah saya update di foldernya sebagai tanda terima kasih karena masih percayai saya untuk menghosting blog wordpressnya.

 

Kalau pakai WPFirewall cukup gak? terus, seberapa kuat wp firewall sih?

 

makasih buat share nya, mastah.

 

Kurang tahu sih ndak pernah nyoba gan.. mungkin ada yang wordpressnya sudah memakai plugin wp-firewall? please share, thank you.

saya cuman share aja, masih ucup gan... bawah ane mastah gan

 

ninggal jejak dulu

 

ane udah simpen di host. thanks gan

 

kayaknya perlu banget nich...kebetulan web baru yang saya buat di hack ma hacker yang baik hati yhank mastah for sharingnya

 

di upgrade ke 3.3.2 harusnya sih dah kaga rentan ya... harusnya sih dah okeh kalau 3.3.2 belon ane cobain...

 

untuk yang 3.3.2 gimana ya bos?

 

untuk yang 3.3.2 sudah saya coba memang di suruh install sesuatu, tetapi alangkah baiknya kalau di buat deny juga dengan cara di thread pertama gan. biar access denied.